B L I 0 U E FRANC 




7FR0 0 /O o 130 



INSTITUT 
NATIONAL DE 
LA PROPRIETE 
INDU5TRIELLE 



1 




BREVET D'INVENTION 



CERTIFICAT D'UTILITE - CERTIFICAT D'ADDITION 



COPIE OFFICIELLE 

Le Directeur general de Nnstitut national de la propriete 
industrielle certifie que le document ci-annexe est la copie 
certifiee conforme d'une demande de titre de propriete 
industrielle deposee a I'lnstitut. 



Fait a Paris, le 2 8 JAN. 2000 



PRIORITY 
DOCUMENT 

SUBMITTED OR TRANSMITTED IN 
COMPLIANCE WITH RULE 17.1(a) OR (b) 



Pour le Directeur general de I'lnstitut 
national de la propriete industrielle 
Le Chef du Departement des brevets 




Martine PLANCHE 



INSTITUT 
NATIONAL 0 E 
LA PROPRIETE 
INDUSTRIELLE 



SIEGE 

26 bis. rue de Saint Petersbourg 
75800 PARIS Cedex 08 
Telephone : 01 53 04 53 04 
Telecopie :01 42 93 59 30 



D8 267/250298 



ETABLISSEMENT PUBLIC NATIONAL CREE PAR LA LOI N" 51-444 DU 19 AVRIL 19S1 



Page Blank (uspto) 



^ » * » • ' 

^^^^^^ HATIOI 

^^^^^ la r«< 



I 



IHSTirUT 
NATIONAL Of 

km piormtTi 

INDUSIRIILLC 



26 bis. rue de Saint Petersbourg 
75800 Paris Cedcx 08 

Telephone : 01 53 04 53 04 Telecopie : 01 42 93 59 30 
- Reserve a I'INPI — — 



BREVET DINVENTION, CERTIFiCAT D'UTILITE 

Code de la propriete rntellectuelle-Livre VI 

REQUfrTE EN DEUVRANCE 

Confirmation d'un depot par telecopie ; '■ 

Cct unpnmc est j r«mio*u j i '.ncn* notre »ii Icttrcs cuptalcf 



N° 55 -1328 



DATE DE REMISE OES PIECES 
N : DENREGISTREMENT NATIONAL 
OEPARTEMENT 0E DEPOT 
DATE DE DEPOT 



17 FEV 1999 
9901937 

75 INPI PARIS 
1 7 FEV. 1999 



3 DEMANDEUR (S) o- siren 


code APE-NAF 




Nom et prenoms (souligner le nom patronymique) ou denomination 




Forme juridique 


GEMPLUS 




S.C.A 






(Soci6t6 en Commandite 






par Actions) 



l> 



2 DEMANDE Nature du titre de propriete industrielle 

XX brevet dinvention . . demande drvisionnaire 

demande initiate 

certificat d'utilite transformation d"une demande V '^ > ^ r 

de brevet europeen — . _ ... 

brevet d invention 

Etablissement du rapport de recherche differe ^X immediat 

Le demandeur. personne physique, requiert le paiemeni echetonne de la redevance 

Titre de I'invention (200 caracteres maximum) 



l Nom et adresse du demandeur ou du mandataire 

A QUI LA CORRESPON DANCE DOIT £TRE ADRESSEX 



Cabinet BALLOT-SCHMIT 
16, avenue du Pont Royal 
94230 Cac&an 



n°du pouvoir permanent references du correspondant telephone 

Q14716 01 49 69 91 91 



certificat d'utilite n* 



Proc6d6 de contre-mesure dans un composant 61ectronique mettant en oeuvre 
un algorithme de cryptographie Sl c16 secrSte 



Nationairte (s) f ran^aise 

Adresse (s) complete (s) Pays 

^fe Avenue du Pic de Bertagne 

^ Pare d'activitfes de la Plaine de Jouques 

13420 Gemenos FRANCE 



£n cas d'insuffisance de place, poursuwre sur papier Hbre 



4 INVENTEUR {$) Les irtventeurs sont les demandeurs : oui ~Xnon Si la reponse est non. fournir une designation separee 



5 REDUCTION DU TAUX DES RED EVAN CES . r^quise pour la I ere fois requise anterieurement au depot : joindre copie de la decision d'admission 



6 DECLARATION DE PRIORITE OU REQUITE DU BENEFICE DE LA DATE DE DEPOT DUNE DEMANDE ANTERIEURE 

pays d'origine numero date de depot nature de la demande 



7 DIVISIONS anterieures a la presente demande 




8 Signature du demandeur ou du mandatajre 

(nom et quatite du signataire) y /) 

BORIN Lydie P>/* f V 
Mandataire n° 94^5^6 
Cabinet BALLOT-SCHMIT 



SIGNATURE DU PREPOSE A LA RECEPTION SIGNATURE APRES El 



iTREMENT OE LA DEMANDE A L'INPI 



BREVET D'l 



n^iti 



IN 5 ! 



ION, CERTIFICAT D'UTIUTE 



■ IHSTTTUT 
NATIONAL. DC 



IMDUSTRIELLI 



DESIGNATION DE L'INVENTEUR 

(si le demandeur n'est pas I'inventeur ou I'unique inventeur) 



DEPARTEMEKT DES BREVETS 

26bis, rue de Saint-Petersbourg 
75800 Paris Cedex 08 

Tel. : 01 53 04 53 04 - Telecopie : 01 42 93 59 30 



N* D'ENREGISTREMENT NATIONAL 



33 o %l 



n° 014716 

TTTRE DE L'lNVENHON : 

Proc6d6 de contre-mesure dans un camposant 6lectronique mettant en 
oeuvre un algorithme de cryptographie k cl6 secrete 



LE(S) SOUSSIGN£(S) 

BORIN I^ydie 

Cabinet BALLOT-SOTMIT 

16, avenue du Pont Royal; 

94230 Cachan 

Prance 

D£S!GNE(NT) EN TANT QU'INVENTEUR(S) (indiquer nom. prenoms, adresse et souligner le nom patronymique) : 

NACCACHE David 
CORON Jean-S6bastien 
PEYT Nathalie 
BENOIT Olivier 

domicili6s au Cabinet BAIl/DT-SCHMIT 

16, avenue du Pont Royal 

94230 Cachan 

Prance 



NOTA : A trtre exceptionnel. le nom de I'inventeur peut etre suivi de celui de la societe a laquelle il appartient {societe d'appartenance) 
forsque celle-ci est differente de la. societe deposante ou titulaire. 



Date et signature (s) du (des) demandeur (s) ou du mandataire 

Fait a Cachan, le 17 fSvrier 1999 



BORIN Ltfdie 
Mandataire n° 94-0506 
Cabinet BALLOT-SCHMIT 





PROCEDE DE CONTRE-MESURE DANS UN COMPOS ANT 
ELECTRONIQUE METTANT EN OEUVRE UN ALGORITHMS DE 
CRYPTOGRAPHIE A CLE SECRETE 

La presente invention concerne un procede de 
contre-mesure dans un composant electronique mettant en 
oeuvre un algorithme de cryptographie a cle secrete, 
lis sont utilises dans des applications oH 1 1 acces a 
5 des services ou a des donnees est severement controle. 
De tels composants ont une architecture formee autour 
d'un microprocesseur et de memoires, dont une memoire 
programme qui contient la cle secrete. 

Ces composants sont notamment utilises dans les 

10 cartes a puce, pour certaines applications de celles- 
ci. Ce sont par exemple des applications d 1 acces a 
certaines banques de donnees, des applications 
bancaires, des applications de tele-peage, par exemple 
pour la television, la distribution d' essence ou encore 

15 le passage de peages d 1 autoroutes . 

Ces composants ou ces cartes mettent done en oeuvre 
un algorithme de cryptographie a cle secrete, dont le 
plus connu est l 1 algorithme DES (pour Data Encryption 
Standard dans la litterature anglo-saxonne) . D'autres 

20 algorithmes a cle secrete existent, comme 1' algorithme 
RC5 ou encore 1» algorithme COMP128. Cette liste n'est 
bien sQr pas exhaustive. 

De maniere generale et succincte, ces algorithmes 
ont pour fonction de calculer un message chiffre a 

25 partir d'un message applique en entree (a la carte) par 
un systeme hote (serveur, distributeur bancaire...) et 
de la cle secrete contenue dans la carte, et de fournir 
en retour au systeme hote ce message chiffre, ce qui 
permet par exemple au systeme hote d 1 authentif ier le 

30 composant ou la carte, d'echanger des donnees... 
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Les caracteristiques des algorithmes de 
cryptographie a cle secrete sont connues : calculs 
effectu^s, parametres utilises. La seule inconnue est 
la cle secrete contenue en memoire programme. Toute la 
5 securite de ces algorithmes de cryptographie tient dans 
cette cle secrete contenue dans la carte et inconnue du 
monde exterieur a cette carte. Cette cle secrete ne 
peut etre deduite de la seule connaissance du message 
applique en entree et du message chiffre fourni en k 
10 r etour . 

Or il est apparu que des attaques externes, basees 
sur les consommations de courant ou une analyse 
dif f erentielle de consommation en courant lorsque le 
microprocesseur d'une carte est en train de derouler 
15 I'algorithme de cryptographie pour calculer un message 
chiffre, permettent a des tiers mal intentionnes de 
trouver la cle secrete contenue dans cette carte. Ces 
attaques sont appelees attaques DPA, acronyme anglo- 

20 Le principe de ces attaques DPA repose sur le fait 

que la consommation en courant du microprocesseur 
executant des instructions varie selon la donnee 
manipulee. 

Notamment, quand une instruction executee par le 
25 microprocesseur necessite une manipulation d'une donnee 
bit par bit, on a deux profils de courant differents 
selon que ce bit vaut "1" ou "0" . Typiquement, si le 
microprocesseur manipule un "0", on a a cet instant 
d' execution une premiere amplitude du courant consomme 
30 et si le microprocesseur manipule un "1", on a une 
deuxieme amplitude du courant consomme, differente de 
la premiere. 

Ainsi l'attaque DPA exploite la difference du 
profil de consommation en courant dans la carte pendant 
35 1" execution d'une instruction suivant la valeur du bit 
manipule. D'une maniere simplifiee, la conduite d'une 
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attaque DPA consiste a identifier une ou des periodes 
particulieres du deroulement de 1 1 algorithme comprenant 
1' execution d'au moins une instruction manipulant des 
donnSes bit par bit; a relever un tres grand nombre N 
5 de courbes de consommation en courant pendant cette ou 
ces periodes, une courbe par message different sur 
lequel on applique 1 ' algorithme; a predire, pour chaque 
courbe, la valeur prise par un bit de la donnee pour 
une hypothese sur une sous-cle, c'est a dire sur une*- 

10 partie au moins de la cle secrete, qui permet de faire 
la prediction ; et a effectuer un tri des courbes selon 
la fonction de selection booleenne correspondante : on 
obtient un premier paquet de courbes pour lesquelles la 
prediction vaut "1" et un deuxieme paquet de courbes 

15 pour lesquelles la prediction vaut "0" . En effectuant 
une analyse dif f erentielle de la consommation moyenne 
en courant entre les deux paquets de courbes obtenus, 
on obtient un signal d 1 information DPA(t) . Si 
1' hypothese de sous-cle n'est pas juste, chaque paquet 

20 comprend en realite autant de courbes correspondant a 
la manipulation d'un "1" que de courbes manipulant un 
"0". Les deux paquets sont done equivalents en terme de 
consommation en courant et le signal d • information est 
sensibleinent nul. Si 1' hypothese de sous-cle est juste, 

25 un paquet comprend reellement les courbes correspondant 
a la manipulation d'un "0" et 1' autre paquet comprend 
reellement les courbes correspondant a la manipulation 
d'un "0" : le signal d 1 information DPA(t) obtenu n'est 
pas nul : il comprend des pics de consommation 

30 correspondant a la manipulation par le microprocesseur 
du bit sur lequel on a base le tri. Ces pics ont une 
amplitude correspondant a la difference de consommation 
par le microprocesseur selon qu'il manipule un "1" ou 
un "0". Ainsi, de proche en proche, il est possible de 

35 decouvrir tout ou partie de la cle secrete contenue 
dans un composant electronique. 
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II existe de nombreux algorithmes a cle secrete 
pour l 1 execution desquels le microprocesseur doit 
effectuer a certains moments des manipulation de 
donn§es bit par bit, 
5 Notamment, les algorithmes comprennent genSralement 

des permutations qui necessitent de telles 
manipulations par le microprocesseur. En analysant la 
consommation de courant lors de 1 ' execution de ces 
manipulations bit par bit, il est possible de retrouver * 

10 la valeur de certains bits au moins de la donnee 
manipulee. La connaissance de cette donnee peut fournir 
des informations sur des resultats intermediates 
obtenus lors de l 1 execution de l'algorithme de 
chiffrement, qui a leur tour peuvent permettre de 

15 retrouver une partie au moins des bits de la cle 
secrete utilisee. 

La presente invention a pour objet de proteger les 
donnees sur lesquelles on effectue des manipulations 
bit par bit, en leur appliquant une contre-mesure, 

20 c'est a dire un brouillage, en sorte que 1» analyse de 
la consommation de courant lors de la manipulation de 
cette donnee ne revele aucune information sur cette 
donnee : le signal d 1 information DPA(t) sera tou jours 
nul quelque soit les hypotheses de sous-cle ou de cle 

25 effectuees dans les attaques DPA. 

Telle que revendiquee, 1 ' invention concerne un 
precede de contre-mesure dans un composant electronique 
mettant en oeuvre un algorithme cryptographique a cle 
secrete K. 

30 Selon I 1 invention, le procede de contre-mesure 

consiste, pour une operation ou une suite d* operations 
appliquee sur une donnee d 1 entree et comprenant au 
moins une manipulation bit par bit, a tirer au 
prealable une premiere donnee aleatoire de meme taille 

35 que la premiere donnee, a calculer une deuxieme donnee 
aleatoire en effectuant un OU exclusif entre la 
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premiere donnee aleatoire et la donnee d' entree, et a 
appliquer success ivement l 1 operation ou la suite 
depurations a la premiere donnee aleatoire et a la 
deuxieme donnee aleatoire. 
5 De cette maniere, 1' operation ou la suite 

d 1 operations ne manipule que des donnees aleatoires en 
sorte qu*il n f est plus possible de mettre en oeuvre une 
attaque DPA. 

Pour retrouver la donnee de sortie correspondant a 
10 1 ' application de la suite d'etapes sur la donnee 
d 1 entree, il suffit de calculer le OU exclusif entre le 
premier et le deuxieme resultats aleatoires. 

Dans un premier mode d 1 application de ce procede de 
contre-mesure, l 1 operation ou la suite d" operations 
15 porte sur une donnee calculee a partir du message a 
chiffrer. 

Dans un deuxieme mode d • application du procede de 
contre-mesure selon 1' invention, on applique ce procede 
a des operations portant directement sur la cle secrete 
20 et fournissant pour chaque tour de l'algorithme la 
sous-cle a utiliser. 

Dans ce mode d 1 application du procede de contre- 
mesure selon 1" invention, on prevoit d'effectuer une 
premiere suite d'etapes selon le procede indique plus 
25 haut en sorte que l'on obtient une premiere sous-cle 
aleatoire et une deuxieme sous-cle aleatoire. 

Dans cette variante, au lieu de calculer la sous- 
cle vraie pour le tour considere, on utilise ces sous- 
cles aleatoires, en sorte que la sous-cle vraie de 
30 chaque tour n'apparait plus en clair : on ne manipule 
que des sous-cle aleatoires. 

D'autres caracteristiques et avantages de 
1" invention sont detailles dans la description suivante 
faite a titre indicatif et nullement limitatif et en 
35 reference aux dessins annexes, dans lesquels : 
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- les figures 1 et 2 sont des organigrammes 
detailles des premiers et derniers tours de 
1 1 algorithme DES; 

- la figure 3 represente schematiquement le procede 
5 de contre-raesure selon l 1 invention applique a une 

operation effectuant une manipulation de donnee bit par 
bit. 

- la figure 4 represente un premier mode 
d* application du procede de contre-mesure selon * 

10 1' invention dans 1' execution de 1' algorithme DES; 

- la figure 5 represente schematiquement deuxieme 
mode d* application du procede selon 1' invention sur les 
operations de 1' algorithme DES manipulant la cle 
secrete; et 

15 - la figure 6 represente un organigramme detaille 

de 1' algorithme DES dans une appication du procede de 
contre-mesure correspondant au schema de la figure 5; 
et 

20 a puce dans laquelle on peut mettre en oeuvre un 
proc§de de contre-mesure selon l 1 invention, 

L' algorithme cryptographique a cle secrete DES 
(dans la suite on parlera plus simplement du DES ou de 
1* algorithme DES) comporte 16 tours de calcul, notes Tl 

25 a T16, comme represente sur les figures 1 et 2 • 

Le DES debute par une permutation initiale IP sur 
le message d f entree M (figure 1). Le message d'entree M 
est un mot f de 64 bits, Apres permutation, on obtient 
un mot e de 64 bits, que l'on coupe en deux pour former 

30 les parametres d'entree L0 et RO du premier tour (Tl) . 

LO est un mot d de 32 bits contenant les 3 2 bits de 
poids forts du mot e. RO est un mot h de 3 2 bits 
contenant les 32 bits de poids faibles du mot e. 

La cle secrete K, qui est un mot q de 64 bits subit 

35 elle-meme une permutation et une compression pour 
fournir un mot r de 56 bits. 
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Le premier tour comprend une operation EXP PERM sur 
le parametre RO, consistant en une expansion et une 
permutation, pour fournir en sortie un mot 1 de 48 
bits. 

5 Ce mot 1 est combine a un parametre Kl, dans une 

operation de type OU EXCLUSIF notee XOR, pour fournir 
un mot b de 48 bits. Le parametre Kl qui est un mot m 
de 48 bits est obtenu du mot r par un decalage d'une 
position (operation notee SHIFT sur les figures 1 et 2) 

10 fournissant un mot p de 4 8 bits, sur lequel on applique 
une operation comprenant une permutation et une 
compression (operation notee COMP PERM) . 

Le mot b est applique a une operation notee SBOX, 
en sortie de laquelle on obtient un mot a de 3 2 bits. 

15 Cette operation particuliere consiste a fournir une 
donnee de sortie a prise dans une table de constantes 
TCq en fonction d'une donnee d 1 entree b . 

Le mot a subit une permutation P PERM, donnant en 
sortie le mot c de 3 2 bits. 

20 Ce mot c est combine au parametre d' entree LO du 

premier tour Tl, dans une operation logique de type OU 
EXCLUSIF, notee XOR, qui fournit en sortie le mot g de 
32 bits. 

Le mot h (=R0) du premier tour fournit le parametre 
25 d 1 entree LI du tour suivant (T2) et le mot g du premier 
tour fournit le parametre d 1 entree Rl du tour suivant. 
Le mot p du premier tour fournit 1 1 entree r du tour 
suivant. 

Les autres tours T2 a T16 se deroulent de fagon 
30 similaire, excepte en ce qui concerne l'operation de 
decalage SHIFT qui se fait sur une ou deux positions 
selon les tours consideres. 

Chaque tour Ti re<?oit ainsi en entree les 
parametres Li-1, Ri-1 et r et fournit en sortie les 
35 parametres Li et Ri et r pour le tour suivant Ti+1 . 
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En fin d 1 algorithme DES (figure 4) , le message 
chiffre est calcule a partir des parametres L16 et R16 
fournis par le dernier tour T16. 

Ce calcul du message chiffre C comprend en pratique 
5 les operations suivantes : 

- formation d'un mot e 1 de 64 bits en inversant la 
position des mots L16 et R16, puis en les concatenant; 

- application de la permutation IP" 1 inverse de 
celle de d6but de DES, pour obtenir le mot f 1 de 64 * 

10 bits formant le message chiffre C. 

On voit que cet algorithme comprend de nombreuses 
operations manipulant les donnees bit par bit, comme 
les operation de permutation. 

Selon le procede de contre-mesure selon 
15 1* invention, on applique une contre-mesure logicielle 
lorsque le microprocesseur qui calcule le message 
chiffre effectue une manipulation bit par bit, De cette 
maniere, le traitement statistique et la fonction de 

20 courbes de consommation de courant ne fournit plus 
aucune information : le signal DPA(t) reste nul quelle 
que soit les hypotheses de sous-cle effectuees. 

La contre-mesure logicielle selon 1 1 invention 
consiste ainsi a rendre impredictible chacun des bits 
25 manipules par le microprocesseur. 

Le principe de cette contre-mesure est represents 
sur la figure 3. 

Soit une donnee d 1 entree D. 

Soit une operation Opn a calculer sur cette donnee 
30 d 1 entree D, dont le resultat est note Opn(D) . Cette 
operation Opn necessite une manipulation bit par bit de 
la donnee d 1 entree D par le microprocesseur; il s'agit 
par exemple d'une permutation. 

Selon l 1 invention, au lieu d'appliquer l 1 operation 
35 Opn sur la donnee d' entree D pour calculer le resultat 
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Opn(D) de l'operation, on effectue les differentes 
etapes suivantes : 

- tirage d'une valeur aleatoire pour une premiere 
donnee aleatoire U, de meme taille que la donnee 

5 d'entr§e D (par exemple, 32 bits) ; 

- calcul d'une deuxieme donnee aleatoire V en 
effectuant un OU exclusif entre la donnee d 1 entree et 
la premiere donnee aleatoire : V *= D XOR U; 

- calcul de 1' operation Opn sur la premiere donnee * - 
10 aleatoire U, donnant un premier resultat aleatoire 

Opn(U) ; 

- calcul de 1" operation Opn sur la deuxieme donnee 
aleatoire V, donnant un deuxieme resultat aleatoire 
Opn(V) ; 

15 - calcul du resultat Opn(D) en effectuant un OU 

exclusif entre le premier et le deuxieme resultats 
aleatoires : Opn(D) = Opn(U) XOR Opn(V) . 

On peut aussi bien appliquer ce procede a une seule 
operation qu'a une suite d • operations . 

20 Un premier mode d 1 application du procede de contre- 

mesure selon 1' invention concerne des operations sur 
des donnees calculees a partir du message (M) sur 
lequel on applique 1 1 algorithme . La donnee d • entree D 
est dans ce cas une donnee calculee a partir du message 

25 M. 

Dans un exemple pratique de ce premier mode 
d 1 application a 1' algorithme DES represents sur la 
figure 4, on applique ce procede d'une part a 
1' operation EXP PERM et d 1 autre part a 1 1 operation P 
30 PERM, qui comprennent toutes deux une permutation 
necessitant une manipulation bit par bit de la donnee 
d' entree. 

Sur la figure on note CM (EXP PERM) et CM(P PERM) 
1 1 application de cette contre-mesure sur ces 
35 operations. 
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La contre-mesure logicielle selon l 1 invention 
consiste alors a effectuer a la place de chaque 
operation P PERM et EXP PERM les operations CM (EXP 
PERM) et CM(P PERM) selon la sequence de calcul decrite 
5 a la figure 3, en utilisant une variable aleatoire U. 
Comme chaque tour de 1 1 algorithme comprend une 
operation EXP PERM et une operation P PERM, on peut 
appliquer cette contre-mesure dans chacun des tours du 
DES. 

10 L 1 experience montre que ce sont les trois premiers 

tours et les trois derniers tours qui permettent les 
attaques DPA* Apres, il devient tres difficile voire 
impossible de predire les bits* 

Aussi, une mise en oeuvre moins couteuse en temps 

15 de calcul d'un procede de contre-mesure selon 
l 1 invention consiste a ne 1' appliquer qu'a ces trois 
premiers et trois derniers tours du DES. 

Differentes variantes d 1 application du procede de 
contre-mesure selon 1' invention concerne le tirage 

20 d'une valeur aleatoire pour la premiere donnee 
aleatoire U. Selon que l'on dispose de beaucoup de 
temps de calcul ou pas, on peut tirer une nouvelle 
valeur aleatoire a chaque fois, pour chacune des 
operations ou suite d' operations pour lesquelles le 

25 procede de contre-mesure selon 1 1 invention est mis en 
oeuvre • 

Sur la figure 4, c'est ainsi que, pour 1' operation 
CM (EXP PERM) , on tire une valeur ul pour la donnee 
aleatoire U, et, pour l'operation CM(P PERM), on tire 
30 une autre valeur u2 pour la donnee aleatoire U. 

Ou bien, on peut tirer une nouvelle valeur 
aleatoire pour chaque tour de 1 1 algorithme, ou encore 
une seule valeur aleatoire en debut d ' algorithme * 

La mise en oeuvre du procede de contre-mesure selon 
35 I 1 invention depend pr incipalement des applications 
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concernees, selon que l'on peut consacrer beaucoup de 
temps supplementaire a la contre-mesure ou pas. 

Un deuxieme mode d 1 application du procede de 
contre-mesure selon 1 ■ invention est represents sur la 

5 figure 5. II concerne plus particulierement les 
operations de calcul appliquees a la cle secrete K pour 
fournir chacune des sous-cles Ki utilisees dans les 
tours de 1 1 algorithme. Dans l'exemple du DES, ces 
operations sont les suivantes KEY PERM, executee en - 

10 debut de DES et SHIFT et COMP PERM executees a chaque 
tour. Lors de ces operations, a certains moments, le 
microprocesseur manipule sfeparement un bit de la cle 
secrete, laissant done la possibility d'une attaque DPA 
sur ce bit. 

15 on applique alors le procede de contre-mesure selon 

l 1 invention en protegeant la donnee, la cle secrete en 
1 'occurrence, avant d'effectuer ces operations, en 
sorte qu'il n'est plus possible d'obtenir une 
information par attaque DPA. 

20 Ainsi, et comme schematiquement reprSsente sur la 

figure 5, on tire une valeur aleatoire d'une premiere 
donnee aleatoire Y, de meme taille que la cle secrete 
K. On calcule une deuxieme donnee aleatoire Z de meme 
taille, en faisant un OU exclusif entre la cle secrete 

25 K et la premiere donnee aleatoire Y : Z = K XOR Y. 

Dans l'exemple, la sequence d' operations comprend 
les operations suivantes KEY PERM, SHIFT, COMP PERM. 
On applique alors cette sequence d 1 operations sur 
chacune des deux donnees aleatoires Y et Z , 

30 successivement . Ainsi, a partir de ces deux donnees Y 
et Z appliquees successivement en entree, on obtient 
successivement les donnees Y', Pi* 1 / K iy 1 / 
respectivement Z', Pi z »/ Ki z i # en sortie des operations 
KEY PERM, SHIFT, COMP PERM. 

35 Un exemple pratique d ■ application au DES est 

represents sur la figure 6. 
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Dans le DES, 1' operation KEY PERM n'est executee 
qu'une seule fois, au debut, tandis que la sequence 
d 1 operations SHIFT et COMP PERM est executee dans 
chaque tour. 

5 En outre, la sortie de 1' operation SHIFT d'un tour 

Ti est appliquee comme entree de 1' operation SHIFT du 
tour suivant Ti+l(voir figures 1 et 2) . 

Pour appliquer le procede de contre-mesure selon le 
deux i era e mode d ■ application a cet algorithme DES, on 

10 applique alors la premiere operation KEY PERM sur les 
donnees aleatoires Y et Z, ce qui donne deux donnees 
aleatoires intermediaires, notees Y' et Z'. Ces deux 
donnees aleatoires intermediaires sont successivement 
appliquees a 1' operations SHIFT du premier tour TI, 

15 fournissant deux donnees aleatoires intermediaires 
notees P ly i et P lz i . Ces deux donnees aleatoires sont 
d'une part memorisees en memoire de travail pour 
l 1 operation SHIFT du tour suivant (le deuxieme tour), 
et d 1 autre part appliquees successivement a l 1 operation 

20 EXP PERM du premier tour, pour fournir un premier 
resultat intermediaire K lY i et K lz i. 

On procede ainsi dans chaque tour. Ainsi, a chaque 
tour Ti, on obtient un premier resultat aleatoire : 
Kiyi= EXP PERM (SHIFT ( Y 1 ) ) et un 

25 deuxieme resultat aleatoire : 
Ki z i= EXP PERM (SHIFT (Z')) ; 

et les donnees aleatoires intermediaires 
SHIFT (Y , )=Pi y i et SHIFT (Z , )=Pi z i sont memorisees en 
30 memoire de travail pour le tour suivant Ti+l. 

Pour chaque tour Ti, on pourrait alors recalculer 
la sous-cle correspondante Ki correspondant a la 
sequence d 1 operations KEY PERM, SHIFT et COMP PERM de 
ce tour appliquee a la cle secrete K, en faisant un OU 
35 exclusif entre les deux resultats aleatoires K^y i et 
Ki z t: Ki= Kiyi XOR Ki 2 1 . 




13 



Mais de preference et comme represents sur la 
figure 6, on ne recalcule pas la sous-cle Ki du tour 
Ti* On applique le premier resultat aleatoire K^yi a la 
place de la sous-cle Ki dans une operation de OU 

5 exclusif XOR avec la donnee 1 fournie par l 1 operation 
d 1 expansion permutation EXP PERM. On obtient un 
resultat intermediaire b' . 

En effectuant ensuite un OU exclusif XOR de ce 
resultat intermediaire b' avec le deuxieme resultat 

10 aleatoire Ki z i, on retrouve la donnee de sortie 
b = XOR (1, Ki) . On effectue done les operations 
suivantes dans chaque tour Ti, pour calculer le 
parametre b a partir de 1 : 
b' = 1 XOR Kj[ y i et 

15 b= b 1 XOR Ki z i, comme repesente pour les premier et 

deuxieme tours ? sur la figure 6. 

De cette maniere, on n 1 utilise plus la sous-cle 
secrete elle-meme dans le calcul du message chiffre, 
mais des "sous-cles aleatoires": la cle se trouve done 

20 protegee avant et pendant 1 1 execution de l'algorithme 
cryptographique, car K^y » et K^ 2 i etant aleatoires et 
non connues du monde exterieur du composant (ou de la 
carte) , elles sont susceptibles de changer a chaque 
nouvelle execution de l'algorithme de cryptographie . On 

25 notera que dans 1 ' application du procede de contre- 
mesure selon 1' invention au calcul et a 1 "utilisation 
des sous-cles, on tire une seule fois une valeur 
aleatoire, en debut d' execution de l'algorithme, avant 
les operations sur la cle secrete . 

30 Ce deuxieme mode d 1 application du procede de 

contre-mesure selon 1 1 invention a la cle secrete peut 
etre avantageusement combine avec le premier mode 
d' application du procede de contre-mesure au calcul du 
message chiffre proprement dit, cette combinaison 

35 rendant particulierement efficace la contre-mesure. 
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La presente invention s' applique a l'algorithme de 
cryptographie a cle secrete DES, pour lequel des 
exemples de mise en oeuvre ont ete deer its. II 
s 1 applique plus generalement a tout algorithme de 
5 cryptographie a cle secrete dont 1" execution par le 
microprocesseur de certaines operations necessitent une 
manipulation bit par bit de donnees. 

Un composant electronique 1 mettant en oeuvre un 
procede de contre-mesure selon 1 ' invention dans un * 

10 algorithme de cryptographie a cle secrete DES, comprend 
typiquement, comme represents sur la figure 10, un 
microprocesseur oP, une memoire programme 2 et une 
memoire de travail 3. Des moyens 4 de generation d'une 
valeur aleatoire, sont prevus qui, si on se reporte aux 

15 organ igrammes des figures 3 et 5, fourniront les 
valeurs aleatoires U et/ou Y de la taille voulue (32 
bits pour U, 64 bits pour Y) a chaque execution de 
1" algorithme de cryptographie. Un tel composant peut 
tout part i cu 1 ierement etre utilise dans une carte a 

20 puce 5, pour ameliorer son inviolabilite. 
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REVINDICATIONS 

1. Procede de contre-mesure dans un composant 
electronique mettant en oeuvre un algorithme 
cryptographique a cl6 secrete K sur un message d * entree 
(M) , caracteris§ en ce que 1" execution d'une operation 

5 (Opn) ou d'une sequence d 1 operations comprenant une 
manipulation bit par bit d'une donnee d' entree (D) , 
pour fournir une donnee de sortie (Opn(D)), comprend les 
etapes suivantes : 

- tirage d'une valeur aleatoire, d'une premiere 
10 donnee aleatoire (U) , de meme taille que la donnee 

d" entree (D) ; 

- calcul d'une deuxieme donnee aleatoire (V) , en 
effectuant un OU exclusif entre la donnee d 1 entree et 
la premiere donnee aleatoire (U) ; 

15 - execution de 1' operation (Opn) ou de la sequence 

d 1 operation successivement a la premiere donnee 
aleatoire (U) et a la deuxieme donnee aleatoire (V) , 
fournissant respectivement un premier resultat 
aleatoire (Opn(U)) et un deuxieme resultat aleatoire 

20 (Opn(V)). 

2. Procede de contre-mesure selon la revendication 
1, comprenant en outre 1 ' etape suivante : 

- calcul de la donnee de sortie (Opn(D)) en 
25 effectuant un OU exclusif entre lesdits premier et 

deuxieme resultats aleatoires. 

3. Procede de contre-mesure selon la revendication 
1 ou 2, caracterise en ce qu'il est applique a des 

30 operations (EXP PERM, P PERM) portant sur des donnees 
calculees a partir du message d 1 entree (M) . 
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4. Procede de contre-mesure selon l'une quelconque 
des revendications precedentes, caracterise en ce que 
l'on tire une nouvelle valeur aleatoire (U) a chaque 
nouvelle execution de la dite operation ou sequence 

5 d ' operations . 

5. Procede de contre-mesure selon la revendication 
1, applique a une operation ou une sequence 
d'operations (KEY PERM, SHIFT, COMP PERM) ef f ectuees * 

10 sur ladite cle secrete K. 

6. Procede de contre-mesure selon la revendication 

5, 1 1 algorithme de cryptographie comprenant plusieurs 
tours de calcul, et comprenant une sequence 

15 d 1 operations sur la cle secrete K pour fournir, a 
chaque tour (T^) , une sous-cle correspondante (KjJ , 
procede caracterise en ce qu'il est applique a ladite 
sequence d' operations pour fournir, a chaque tour, un 
premier resultat aleatoire (K^y ■ ) et un deuxieme 

20 resultat aleatoire (Kj^i). 

7. Procede de contre-mesure selon la revendication 

6, chaque tour (Ti) une operation de OU exclusif entre 
la sous-cle (K^) et une donnee d 1 entree (1) pour 

25 fournir une donnee de sortie (b) , caracterise en ce que 
cette operation est remplacee par les operations 
suivantes : 

- calcul du OU exclusif entre ladite donnee 
d f entree (1) et le premier resultat aleatoire (K^yi) 

30 pour fournir un resultat intermediaire (b'); 

- calcul du OU exclusif entre ledit resultat 
intermediaire (b 1 ) et le deuxieme resultat aleatoire 
( K iz") P our fournir ladite donnee de sortie (b) . 

35 8. Procede de contre-mesure selon 1 1 une quelconque 

des revendications l, 2, 3, 5, 6 et 1, caracterise en 
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ce que 1'on tire une nouvelle valeur aleatoire (U ou Z) 
a chaque nouvelle execution de 1 1 algorithme de 
crypt ographie . 

5 9. Procede de contre-mesure selon l'une quelconque 

des revendications 3 et 4, caracterise en ce qu'il est 
combine a un procede de contre-mesure selon l'une 
quelconque des revendications 5 a 8 . 

10 10 • Procede de contre-mesure selon l'une quelconque 

des revendications precedentes, caracterise en ce qu'il 
est applique a 1 'algorithme DES. 

11. Composant electronique de securite mettant en 
15 oeuvre le procede de contre-mesure selon l'une 
quelconque des revendications precedentes , caracterise 
en ce qu'il comprend des moyens (4) de generation d'une 
valeur aleatoire. 
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12 . Carte a puce comprenant un composant 
electronique de securite selon la revendication 9. 
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